Mengumpulkan log Keamanan ServiceNow

Didukung di:

Ringkasan

Parser ini mengekstrak data peristiwa keamanan dari log JSON ServiceNow, memetakan kolom yang relevan ke UDM. Log ini menangani berbagai jenis peristiwa seperti login dan perubahan izin, mengisi informasi pengguna utama/target, alamat IP, dan metadata seperti detail vendor dan produk.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses istimewa ke ServiceNow Security.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Keamanan ServiceNow.
  5. Pilih Webhook sebagai Jenis sumber.
  6. Pilih ServiceNow Security sebagai Jenis log.
  7. Klik Berikutnya.
  8. Opsional: Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti \n.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
  11. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  12. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku.
  13. Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.
  14. Klik Selesai.

Membuat kunci API untuk feed webhook

  1. Buka konsolGoogle Cloud > Kredensial.

    Buka Kredensial

  2. Klik Create credentials, lalu pilih API key.

  3. Batasi akses kunci API ke Google Security Operations API.

Tentukan URL endpoint

  1. Di aplikasi klien Anda, tentukan URL endpoint HTTPS yang disediakan di feed webhook.

  2. Aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.

  3. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ganti kode berikut:

    • ENDPOINT_URL: URL endpoint feed.
    • API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
    • SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi Webhook di ServiceNow

  1. Login ke ServiceNow Security dengan akun istimewa.
  2. Buka Konfigurasi > Monitoring > Koneksi.
  3. Klik add .
  4. Pilih Webhook.
  5. Tentukan nilai untuk parameter berikut:
    • Nama: Berikan nama deskriptif untuk webhook (misalnya, Google SecOps).
    • URL: Masukkan ENDPOINT_URL Google SecOps dengan API_KEY dan SECRET.
  6. Klik Simpan untuk menyelesaikan konfigurasi webhook.

Pemetaan UDM

Kolom log Pemetaan UDM Logika
created_by target.user.userid Dipetakan ke target.user.userid jika snc_user kosong.
event metadata.product_event_type Dipetakan langsung dari kolom log mentah "event".
event_created metadata.event_timestamp.seconds Dikonversi menjadi detik dari kolom log mentah "event_created" menggunakan filter date.
ip_address principal.ip Dipetakan langsung dari kolom log mentah "ip_address" jika tidak kosong.
snc_user target.user.userid Dipetakan langsung dari kolom log mentah "snc_user" jika tidak kosong.
pengguna principal.user.userid Dipetakan langsung dari kolom log mentah "user" jika tidak kosong atau "null".
extensions.auth.type Tetapkan ke "MACHINE" jika kolom event adalah "Failed Login", "SNC Login", "Admin Login", atau "Impersonation".
metadata.event_type Setel ke "USER_LOGIN" jika kolom event adalah "Failed Login", "SNC Login", "Admin Login", atau "Impersonation". Tetapkan ke "USER_CHANGE_PERMISSIONS" jika kolom event adalah "Peningkatan Keamanan".
metadata.log_type Dikodekan secara permanen ke "SERVICENOW_SECURITY".
metadata.product_name Dikodekan secara permanen ke "SERVICENOW_SECURITY".
metadata.vendor_name Dikodekan secara permanen ke "SERVICENOW".
principal.user.userid Ditetapkan ke "UNKNOWN" jika kolom user kosong atau "null".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.